Hackers da DarkSide arrecadaram mais de US$ 90 milhões em Bitcoin

O grupo de ransomware DarkSide, que se acredita estar por trás dos ataques ao oleoduto Colonial, faturou cerca de US$ 90 milhões em Bitcoin de 47 vítimas.

De acordo com o cofundador e cientista-chefe da empresa de segurança cibernética Elliptic, Tom Robinson, as vítimas fizeram pouco mais de US$ 90 milhões em pagamentos de resgate em Bitcoin para a DarkSide, provenientes de 47 carteiras distintas. De acordo com o DarkTracer, o ransomware DarkSide infectou 99 organizações, o que sugere que cerca de 47% das vítimas pagaram um resgate e o pagamento médio foi de US$ 1,9 milhão.

“Até onde sabemos, esta análise inclui todos os pagamentos feitos à DarkSide, no entanto, outras transações ainda podem ser descobertas, e os números aqui devem ser considerados um limite baixo”, disse Robinson.

Gangues de criminosos cibernéticos, como a DarkSide, estabeleceram um modelo de negócios de ransomware como serviço no qual desenvolvem o malware, mas permitem que outros hackers invadam as vítimas. A DarkSide então divide os lucros entre eles e seus afiliados.

No caso da DarkSide, o desenvolvedor supostamente recebe 25% para resgates inferiores a US$ 500.000, mas isso diminui para 10% para resgates superiores a US$ 5 milhões.

A análise do Blockchain deixa claro o dinheiro dividido, com as diferentes ações separando as carteiras Bitcoin controladas pelo afiliado e pelo desenvolvedor.

Robinson disse que o desenvolvedor do DarkSide recebeu Bitcoins no valor de US$ 15,5 milhões (17%), com os restantes US$ 74,7 milhões (83%) indo para as várias afiliadas.

Uma análise mais aprofundada permitiu que a empresa visse onde a criptomoeda estava sendo gasta ou trocada. A maioria dos fundos foi enviada para exchanges de criptoativos, onde eles podem trocá-los por outros criptoativos, ou moeda fiduciária, disse Robinson.

Robinson disse que a maioria das exchanges de criptoativos cumprem os regulamentos anti-lavagem de dinheiro (AML), verificando a identidade dos clientes e relatando atividades suspeitas, como receitas de ransomware.

“No entanto, algumas jurisdições não aplicam esses regulamentos e é para as exchanges nesses locais que grande parte dos lucros do ransomware DarkSide está sendo enviado”, disse Robinson.

O grupo de ransomware DarkSide, que se acredita estar sediado na Europa Oriental ou na Rússia, se desfez recentemente após novas investigações pelas autoridades dos EUA. Um e-mail para as afiliadas da DarkSide dizia que estava fechando a loja “devido à pressão dos EUA”.

No entanto, muitas gangues criminosas disseram que estão se desfazendo apenas para aparecer novamente semanas ou meses depois com um novo nome.